보안업체 "러 해커 서버서 北 악성코드 발견"
양국 해커들의 사이버 공동 작전 가능성도
북한과 러시아의 국가 연계 사이버 범죄 조직들이 서버와 해킹 기술을 공유하며 직접 협력하고 있는 정황이 포착됐다. 사이버 안보 분야에서 ‘적성국 간 연대’가 확인될 경우 국가 위협의 양상이 근본적으로 달라질 수 있다는 우려가 제기된다.
25일(현지시각) 미국 정치 전문매체 폴리티코는 사이버보안 기업 ‘젠디지털’의 분석 결과를 인용해 북한 해킹조직 ‘라자루스(Lazarus)’와 러시아의 ‘가마레돈(Gamaredon)’이 동일한 서버와 해킹 전술을 사용하고 있는 흔적이 발견됐다고 보도했다.
라자루스는 북한 정찰총국과 연계된 조직으로, 각국의 암호화폐 탈취 공격으로 악명을 떨쳐왔다. 가마레돈은 우크라이나 정부 네트워크를 집중 공격해온 조직으로 러시아 연방보안국(FSB)과 연계된 것으로 알려졌다.
젠디지털 분석가들은 가마레돈이 텔레그램 채널을 통해 악성코드 제어 서버를 운용하는 것을 추적하던 중, 해당 서버 중 하나가 라자루스에 의해 활용되고 있는 사실을 확인했다. 또 가마레돈이 운영하는 서버에서 라자루스 계열 악성코드의 변종 버전까지 발견됐다.
젠디지털은 이를 근거로 “양측이 시스템을 공유하고 있을 가능성이 높으며 직접적 협력 관계일 가능성도 배제할 수 없다”고 판단했다. 다만 “한 조직이 다른 조직의 기법을 의도적으로 모방했을 가능성 역시 존재한다”고 분석했다.
미할 살라트 젠디지털 위협정보담당 이사는 “가마레돈이 라자루스의 해킹 기법을 연구하거나 참고하고 있을 수 있다”며 북·러 사이에 기술적 학습 혹은 공동 작전의 가능성을 시사했다.
살라트 이사는 특히 “국가 차원에서 정교하고 장기적으로 수행되는 APT(지능형 지속 위협) 분야에서 두 나라가 협력한 흔적은 전례 없는 일”이라고 강조했다.
폴리티코는 “국가 연계 해킹조직이 서로의 악성코드를 ‘배포’하는 경우는 극히 드물다”며, 이번 보고서가 사실로 확인될 경우 우크라이나 전쟁 이후 강화돼온 북·러 군사협력이 ‘사이버 공조’ 단계로 진화하고 있다는 신호일 수 있다고 분석했다.
북한은 작년부터 우크라이나 전쟁에 병력을 파병하고 무기를 지원하는 등 러시아와의 군사 협력을 가시적으로 강화해왔다. 최근 우크라이나 국방부 정보총국은 북한이 자폭 드론 생산을 위해 노동자 수천 명을 러시아에 파견할 계획이라고 밝힌 바 있다.
전문가들은 “사이버·군사·신산업 기술 협력까지 확대될 경우 북·러 관계는 사실상 동맹 수준의 전략적 이해관계로 묶이게 될 것”이라며 “한국 안보 환경에도 직접적인 위협 요인이 될 수 있다”고 경고했다.
‘북·러 사이버 연대’가 새로운 현실로 떠오른 가운데, 한미 당국의 대응 전략이 시험대에 올랐다는 분석이 나온다.